XDS Checklist

Transcription

1 IHE IT Infrastructure 地域医療連携組織のための ポリシー作成ガイド 第 2 版 IHE-J-A-G0003 V 一般社団法人日本 IHE 協会 ITI 委員会 特定非営利活動法人デジタル フォレンジック研究会 1 Copyright 2018 IHE, IDF

2 目次 1 はじめに (Introduction) この文書の使い方... 5 A.1 まえがき... 6 A.2 用語 (Glossary)... 6 A.3 参照規格 (Reference Documents)... 7 A.4 組織的規約 (Organizational Rules)... 7 A.4.1 組織構成 (Organizational Roles)... 7 A.4.2 資金 (Funding)... 7 A.4.3 透明性 (Transparency)... 8 A.4.4 施行と是正 (Enforcement and Remedies)... 8 A.4.5 義務とリスク配分 (Liability and Risk Allocation)... 8 A.4.6 免責 (Indemnification)... 8 A.4.7 発行物への知的財産権 (Intellectual Property Rights to Published Documents)... 8 A.5 運用規則 (Operational Rules)... 8 A.5.1 サービスレベルの合意 (Service Level Agreements)... 8 A.5.2 日常的運営 (Daily Governance)... 8 A.5.3 構成管理と新機能要素の追加 (Configuration Management AND Addition of New Components)...10 A.5.4 データ維持 保存 バックアップ (Data Retention, Archive and backup)...10 A.5.5 監査 (Audit check) 及び監査証跡(Audit Trail)...10 A.5.6 リスク分析 (Risk analysis)...10 A.6 メンバの規約 (Membership Rules)...11 A.6.1 入会 (Acceptance)...11 A.6.2 メンバのタイプ (Types of Membership)...11 A.6.3 メンバ方針 (Membership Policies)...11 A.7 XAD の外部からの接続性 (Connectivity To the XDS Affinity Domain from External Systems)...12 A.8 システム構造 (System Architecture)...12 A.8.1 全体構造 (Global Architecture)...12 A.8.2 XAD のアクタ (Affinity Domain Actors)...12 A.9 使用用語とコンテンツ A.9.1 識別構成の共通規約 (Common Rules for Identifier Construction)...23 A.9.2 サポートする内容 (Supported Content)...24 A.10 プライバシ (Patient Privacy and Consent)...24 A.10.1 ドキュメントのアクセスと利用の一般則 (General Guidelines Regarding Document 2 Copyright 2018 IHE, IDF

3 Access and Use)...24 A.10.2 患者同意 (Patient consent)...24 A.10.3 プライバシを越える時のガイド (Privacy Over-ride Guidelines)...24 A.11 技術的セキュリティ (Technical Security)...25 A.11.1 役割識別 (Authentication of Users/Role)...25 A.11.2 アクセス制御...27 A.11.3 ノード識別 (Node Authentication) ノード認証(Node Certificates Management)...27 A.11.4 倫理 (Ethics)...27 A.11.5 将来のシステム拡張 (Future system developments)...27 別冊地域医療連携におけるデジタル フォレンジック 定義 効果 / 利点 適用例 導入にあたって

4 1 はじめに (Introduction) 我が国において 数多くの医療機関による連携組織が実運用段階になり 2016 年 3 月には厚生労働省より地域医療連携用の標準規格 地域医療連携に関する情報連携基盤技術仕様 が定められた 医療機関の連携を運用するには 連携を実現する技術仕様を定めるだけでなく 個別医療機関の運営方針と調和する形での 連携用運営方針 ( ポリシー ) を定めなければ運用に支障をきたすこととなる 本書は 医療連携コミュニティ (IHE の用語である XDS Affinity Domain: XAD と略す ) における ポリシー作成ガイドを提供する ある地域における独立した XAD 多重の XAD のポリシーを作成する場合に使われることを期待して XAD の構築と運用で考慮すべき項目と 実現組織にとってのポリシー作成する際に役立つ事項の提供を目指している とりわけ 複数の XAD に加入する医療機関にとっての有用性 患者にとっての同意判断の判りやすさには 有効なガイドと考える このガイドの利用対象者としては 厚生労働省標準規格 地域医療連携に関する情報連携基盤技術仕様 ( 一社 ) 保健医療福祉情報システム工業会 (JAHIS) IHE-ITI を用いた医療情報連携基盤実装ガイド に準拠して地域医療連携コミュニティを実現するシステムを構築 運用する組織を想定している 必要な知識として 上記技術仕様を理解していることを前提にしている 厚生労働省標準規格に準拠していない地域医療連携コミュニティは その形態の想定が困難であるため対象外であるが 多くの事項は有用と思える 上記技術仕様の内容に加えて さらには日本国内用であることから 厚生労働省 医療情報システムの安全管理に関するガイドライン ( 以下 安全管理 GL) に準拠することは必然とし IHE の BPPC ほかの関連統合プロファイル 経済産業省 総務省のサービス事業者向けガイドライン等 他団体 例えば ( 一社 ) 保健医療福祉情報安全管理適合性評価協会 (HISPRO) 地域医療介護連携サービスの安全管理評価項目 等も参考して作成されている 医療情報システムの安全管理に関するガイドライン付録 ( 参考 ) 外部機関と診療情報等を連携する場合に取り決めるべき内容 も踏まえている 本書は 地域連携における連携用運営方針 ( ポリシー ) の重要性に着目し 一般社団法人日本 IHE 協会の ITI 委員会と特定非営利活動法人デジタル フォレンジック研究会 (IDF) との合同ワーキンググループにより作成された 特に 監査証跡 (ATNA による事を想定 ) に基づく監査は メンバに対して組織運営の透明性を証示し 説明責任を遂行するための重要な管理要件の一つでもあり デジタル フォレンジック技術を参考にすることが有用である そのため 別冊 : 地域医療連携におけるデジタル フォレンジック にてデジタル フォレンジックの紹介を行った 読者の中には デジタル フォレンジックという言葉になじみがない方がいると思われるので 必要に応じて別冊の 地域医療連携におけるデジタル フォレンジック を参照いただきたい なお 本書は IHE IT Infrastructure Technical Committee White Paper Template for XDS Affinity Domain Deployment Planning Version 15.0 December 2, 2008 を書式の参考にしている 第 2 版について初版発行以来 各ガイドラインの改定 すなわち 医療情報システムの安全管理に関する 4

5 ガイドライン第 5 版 ( 以下 安全管理 GL) 発行 (2017.5) 総務省 ASP SaaS における情報セキュリティ対策ガイドライン 及び ASP SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン の クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン ( 以下 クラウドサービス GL) への統合 改定 (2018.7) があり どちらも本書が対象にしている 地域医療連携 がカバー範囲に含まれている 2. この文書の使い方 本書の利用に当たっては 以降の A 項がポリシーとしての形式になっており 各項に作成すべき内容の解説を付してある 一部には各種ガイドライン等の資料が参照情報として示してある 地域医療連携運営組織には目的や参加医療機関等に多くの相違いがあり一律に決められないため 各運用組織において 実情に合わせて内容の具体化をして作成されることを想定している このガイドは 地域医療連携を運営する組織向けであるが 組織に参加する各医療機関においては 自らが定めるポリシー ( ネットワーク接続条件 アクセス権限管理 運用規定など ) との整合性を計る為 各参加組織においても参照するものである 連携組織としての項目に不要 不足が有る場合は 削除 追加を行って作成して欲しい この文章を使用するポリシー作成者は 地域医療連携システムとして IHE の XDS PIX/PDQ XCA XCPD などの IHE の統合プロファイル (1) や地域医療連携における情報連携基盤技術仕様 (2) A3 の参照規格などについて 基礎的な知識を備えていることが期待されている 各項において参照となる文書を (*) で記載している ( 項目タイトルは略してある ) ので 適宜参考に見ていただきたい 1 IHE の統合プロファイルは 以下の WEB ページにある IHE ITI Technical Framework Vol.1 に記載されている 2 地域医療連携における情報連携基盤技術仕様は 以下の URL にある 5

6 A.1 まえがき 本組織に参加する医療 介護サービスを提供する事業者 個人 ( 以降 メンバ という ) から見ての本組織は 情報の第三者提供先ではなく 診療目的のデータ共同利用を行うための情報交換実務を行う事の業務委託先とする したがって メンバによる監督を受ける立場であり A.4.3 に定める情報開示を行う * 参照 : 医療 介護関係事業者における個人情報の適切な取扱いのためのガイダンス Ⅲ5 第三者提供 第三者提供に当たらない診療目的での共同利用での 本人同意は不要の条件 * 参照 : クラウドサービス GL 1.3.2(2) 医療情報連携ネットワークにおける本ガイドラインの適用 以下枠内は 本ガイドが前提とする組織の形態の定義である (1) 組織は 医療 介護サービス提供事業者 個人 ( 以降 メンバ という ) 間での情報連携のためのシステム ( 標準規格 地域医療連携に関する情報連携基盤技術仕様 に準拠 ) 構築とその運用を行う (2) メンバにとって組織は 情報の第三者提供先には当たらず 共同利用目的での情報交換実務を行う事の委託先である したがって メンバによる監督を受ける立場であり A.4.4 に定める情報開示を行う (3) メンバ間で共同利用する情報は 個人の診療 介護情報であり 組織の管理するレジストリ レポジトリ アクセスログ内に蓄積される したがって 医療情報システムの安全管理に関するガイドライン に準拠し安全管理を行う (4) 組織はメンバに対して 外部保存サービス機能を提供しない したがって 法的保存義務のある診療記録は 組織内では保管しない (5) 組織において集積データの加工処理を行い第三者に提供する機能は 統計情報を除き 本ポリシーの範囲外である A.2 用語 (Glossary) このポリシー内で使われる用語 略語の説明を行う 小量であれば まとめても良い 例 : XDS Affinity Domain(XAD): 医療連携コミュニティ Patient Identifier Cross-referencing (PIX): 患者 ID 相互参照 Patient demographics Query (PDQ): 患者基本情報の問い合わせ Cross-Enterprise Document Sharing (XDS.b): 施設間情報共有 Cross-Enterprise Document Sharing for Imaging (XDS-I.b): 画像のための施設間情報共有 Cross-Community Access (XCA): コミュニティ間連携 Consistent Time (CT): 時刻同期 Audit Trail and Node Authentication (ATNA): 監査証跡およびノード認証 Cross-Community Access for Imaging (XCA-I): 画像のためのコミュニティ間連携 Cross-Enterprise Document Reliable Interchange (XDR): 施設間情報の相互交換 Cross-Community Patient Discovery (XCPD): コミュニティ間における患者探索 6

7 A.3 参照規格 (Reference Documents) 1 厚生労働省 医療情報システムの安全管理に関するガイドライン ( 安全管理 GL) 2 経済産業省 医療情報を受託管理する情報処理事業者向けガイドライン 3 総務省 クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン ( クラウドサービス GL) 4( 一社 ) 日本 IHE 協会 地域医療連携に関する情報連携基盤技術仕様 5( 一社 ) 保健医療福祉情報システム工業会 (JAHIS) IHE-ITI を用いた医療情報連携基盤実装ガイド 6( 一社 ) 保健医療福祉情報安全管理適合性評価協会 (HISPRO) 地域医療介護連携サービスの安全管理評価項目 医療情報を管理する組織としては 1 に従う安全管理を メンバからのデータ取扱を委託される立場の組織としては 23 に従った運営を行う 45 は本ポリシーが想定するシステムの仕様である 6 は本ポリシーの内容によって応えることが期待されている事項である A.4 組織的規約 (Organizational Rules) クラウドサービス GL に準拠して 組織規約やメンバとの責任分界は定められているものとするが 以下の趣旨も運用管理規定等に定める 本組織が 外部のサービス事業者のシステムを利用する場合は メンバとの契約を守るために メンバとの責任分界契約に沿った内容と同等の契約をする * 参照 : 安全管理 GL 4 章責任分界 外部保管受託事業者との契約 付録 * 参照 : クラウドサービス GL 2 章事業者の責任 A.4.1 組織構成 (Organizational Roles) 組織の運営の為に メンバを交えた運営会議 技術委員会 を置き システム管理者 運用管理責任者 を任命する 安全管理 GL 付表運用管理規程例文 あるいは クラウドサービス GL 4 章合意形成の考え方 仕様適合開示書および SLA 参考例 を参考にし 運用管理規程において管理者及び機構内利用者の責務を定める 例 : a) システム管理者や 運用管理責任者の責務 b) 監査責任者の責務 c) 機構内利用者の責務 * 参照 : 安全管理 GL 組織的 物理的 技術的 人的安全管理 * 参照 : クラウドサービス GL 組織的 物理的 技術的 人的安全対策 A.4.2 資金 (Funding) メンバの費用分担については 定額制 従量制 メンバの資格依存 等を明示した文書を作成し メンバ 加入希望者に示す 損害保険でカバーされている事項が有れば記載する 7

8 運用 保守 更新のための会計計画は メンバへの会計報告で行う A.4.3 透明性 (Transparency) メンバに対して 運営状態の定期的報告を定める 例えば システムの稼働状態 取り扱いデータの統計情報等の開示を行う * 参照 : 安全管理 GL 6.1 方針の制定と公表 * 参照 : 参照規格 6 A.4.4 施行と是正 (Enforcement and Remedies) 情報連携のためのシステムに関する施行規約 ( 支払い アクセス権限 パフォーマンスの要求 セキュリティ等 ) を定めて 各役割における責任の在り処を明確にする A.4.5 義務とリスク配分 (Liability and Risk Allocation) 組織存続上の観点から見たリスクを記載する 一部は免責事項として契約に謳う A.4.6 免責 (Indemnification) システムの実装 運用に関しては 契約や合意事項に定める事項以外は免責事項として記載する 例 : 事業継続不可能となった場合の免責利用者によるデータ誤使用への法的告訴に対しての 提供者の免責患者からデータ誤利用に対しての告訴時 賠償責任を回避する仕組みデータ提供者と全利用者間の免責の取決め A.4.7 発行物への知的財産権 (Intellectual Property Rights to Published Documents) XAD 内部における文書管理規約を定める 例 : レポジトリ内データの所有権者メンバのアクセス可能なデータの利用資格 公表物への記載等 成果物の管理規定 本組織の利用権限 A.5 運用規則 (Operational Rules) A.5.1 サービスレベルの合意 (Service Level Agreements) システム運用上のサービスレベルの合意事項を定める 参照 : クラウドサービス GL 4 章合意形成の考え方 仕様適合開示書および SLA 参考例 A.5.2 日常的運営 (Daily Governance) A 規則の管理 (Policy Governance) 8

9 A.4.1: 組織構成で定めた運営体制上の役割 / 責任範囲に応じて 本組織が日々のシステム運用管理において遵守すべき規則を定める 例 : 本組織への来訪者の記録 識別 入退の制限等の入退管理規則情報機器の設置区画の管理 監視規則情報へのアクセス権限の決定規則記録媒体の管理 ( 保管 授受 廃棄 ) 規則技術的安全対策に関する管理規則無線 LAN の管理規則リモートアクセスの管理規則保守作業管理規則 A 規則の変更手続 (Policy Change Procedures) 規則を変更する際の申請 承認手続を定める A 公表 / 通知規則 (Publication and Notification Policies) 組織としての情報発信を行う際の規則を定める A.5.1: サービスレベルの合意で定めたサービスレベルの改定に際して メンバへ公表 通知する規則も含めて検討する 例 : 通知までのタイムスパン通知方法 (WEB サイト 書状通知等の方法 またはシステムの緊急停止時にその旨をどこで公表するか等 ) A システム停止時の管理 (Management When Systems are Unavailable) システムの定期保守 システム上の不具合 脆弱性対応に伴う計画的なシステム停止等 システムを計画的に停止する場合の対応規則を定める A 自然災害 サイバ攻撃等の非常時からの回復 (Disaster Recovery) 想定外の非常事態 ( 自然災害やサイバー攻撃等 ) によりシステムが利用不可となった場合の 復旧対応の規則を定める 例 : システムの縮退運用管理規則非常時の機能と運用管理規則復旧対応時の連絡 報告先と内容一覧 なお システム利用不可による影響度が限定的であり 特に本規則を必要としない組織の存在も想定されるため 本ポリシーは組織運営の特性を応じて 個々に策定要否を検討すること * 参照 : 安全管理 GL 6.10 非常時対応 * 参照 : クラウドサービス GL 非常時対応 9

10 A.5.3 構成管理と新機能要素の追加 (Configuration Management AND Addition of New Components) システムを構成するハードウェアやソフトウェアの機能更新 あるいは構成変更をどのように行うかについての規則を定める 例 : レポジトリやレジストリ等が実装されるハードウェア / ミドルウェア / ソフトウェアの機能変更レポジトリの追加他レポジトリの統合 XDS-I のローカルと集中アーカイバ間の移行 A.5.4 データ維持 保存 バックアップ (Data Retention, Archive and backup) メンバが本組織のサービス利用を終了する場合 メンバに属するデータ類をどのように取り扱うかについての規則を定める レポジトリ レジストリ上のデータに加え メンバが本組織のサービスを利用して公表した著作物についての取り扱いも含まれるため A.4.7 発行物への知的財産権で定めた内容を踏まえ検討する A.5.5 監査 (Audit check) 及び監査証跡 (Audit Trail) A.5.4 を考慮し メンバに対する運営組織としての説明責任を果たすために どのような組織運営 及びシステムに関する監査を行うのかを定める 例 : 監査対象となる範囲監査の頻度監査結果の公表方法 組織運営における ATNA と JAHIS IHE-ITI を用いた医療情報連携基盤実装ガイド による監査証跡 ( アクセスログ システム保守作業時のログ ) の扱いと保持期間等 システム上で取り扱われるデータが不適切に扱われていないことを事後的に確認可能にする規則を定める 監査に関するポリシーは メンバに対して組織運営の透明性を証示し 説明責任を遂行するための重要な管理要件の一つでもあり 本要件を効果的に満たすためのアプローチとしてデジタル フォレンジックという技術が存在する 別冊 : 地域医療連携におけるデジタル フォレンジック を参考の上 本技術の採用について検討することが望ましい A.5.6 リスク分析 (Risk analysis) システム管理上のリスクを分析し 管理策を検討 策定するための手続とともに 見直しの頻度を定める 具体的には 安全管理 GL 6 章 を参考とし 提供システム上の技術安全管理対策の充足状況についてのリスク評価を行い 少なくとも年次で見直しを行うこと 10

11 * 参照 : 安全管理 GL 6.2 リスク分析 A.6 メンバの規約 (Membership Rules) 本組織に加入する各種組織体 ( メンバ ) が遵守すべき入会審査 / 退会時の手続 各メンバにおけるデータへのアクセス権限種別 及びメンバ加入状況に対する外部への公開手続を定める * 参照 : 安全管理 GL 付録 * 参照 : 参照規格 6 A.6.1 入会 (Acceptance) 入会時の手続を定めること 例 : 本組織への加入資格本組織加入時の審査手続本組織からの退会手続 なお 特定のメンバの事情により システム ネットワークに関する全体のセキュリティレベルの低下を招かないようにするため 各メンバに求めるセキュリティ仕様を明確にし 加入資格に必ず含めること A.6.2 メンバのタイプ (Types of Membership) 各メンバによる加入目的に応じた 本組織が運用管理するデータ またはメンバ間で共有するデータへのアクセス範囲 ( 読み取りのみ可 書き込みも可 研究目的等による対外的な利用 発表可等 ) について定める 以下のような一覧表を各データへのアクセス範囲を定めるとともに メンバの増減に伴い一覧表の更新を定期的に行う方法が一案として考えられる なお 一覧表はメンバの増減に伴う保守性を高めるため 別の台帳にて管理し ポリシー文書上はメンバのタイプの記載に留めることが推奨される 例 : データアクセスリスト本組織が運用管理するデータ メンバAデータ メンバBデータ メンバA 読み取りのみ - 対外的な利用 発表可 メンバB 書き込み 読み取りのみ - A.6.3 メンバ方針 (Membership Policies) メンバの加入 / 退会時の内部的な手続を管理する規約を定義すること 11

12 例 : 現行のメンバ一覧 及びデータアクセスリストの公開先データアクセスリストの更新手続退会時の当該メンバに関するデータの廃棄手続 A.7 XAD の外部からの接続性 (Connectivity To the XDS Affinity Domain from External Systems) ドメインの境界を超えてデータに至る手続きを特定すること 通常 XAD のメンバとは考えられないようなユーザに Portal などによるアクセスがサポートされる場合 ポリシーと技術的詳細についてここで特定しておくこと ( 例えば XAD の領域の外からの一時的なアクセスに対してサポートされる様々な手段など ) A.8 システム構造 (System Architecture) A.8.1 全体構造 (Global Architecture) レジストリ メンバごとのレポジトリ等の存在形態 ( 本組織が加入メンバのレポジトリ管理の委託を受けるか否か ) を記載する 特に XDS-I の Image データの置き場 ( ローカルか地域アーカイバか ) を明示する 利害関係者 システム機能要素を含む全体のダイアグラムを記載する 図 A.8.1 全体のダイアグラム A.8.2 XAD のアクタ (Affinity Domain Actors) XAD Integration Profile で定義される IHE アクタの実装に当たっては システム通信上で特定できる必要がある 12

13 A ビジネスアクタ (Business Actors) XAD におけるビジネスアクタを特定する さらに ビジネスアクタが必要とする実際のアクタ ( 技術的なアクタ ) を特定する それらのオプショナリティを明らかにする ([ それぞれ 必須 / オプション / 条件付 を表す ]) C(Conditional) の場合は備考欄に要求事項を定義する また関連アクタの記述された章 A などの参照を行う 特別な技術アクタへの要求の差異事項をここで定義する必要がある 例えば XDS-I 利用者 (Consumer) アクタは 開業医であるか 放射線医かで変わる そのような差異の概要を備考欄に記述する 詳細は A に記述し参照できるようにする 表 A ビジネスアクタの一覧例 ビジネスアクタ定義技術的なアクタ オプショナリティ 備考 オプションが C ( 条件付き ) の 場合 この欄に 地域連携 Regional (State/Provincial, Regional, or Local) HIE 地域連携サービスを共有するプロバイダー Patient ID Cross- Referencing Manager, Policy Repository, Consent Repository, Audit Repository, Possibly Registry PIX Manager PDQ Supplier ATNA Audit Repository 記述する または A8.2.2 に書かれた部分を参照するように記述する XDS Registry XUA X- Service Provider 13

14 ビジネスアクタ定義技術的なアクタ オプショナ リティ 備考 XDS-MS for ドキュメントリポジトリ Document Repository 地域のヘルスケアプロバイダーにサービスを提供するリポジトリ ( レジストリを含んでもよい 別のレジストリに登録されたドキュメントを含んでも良い ) document transport and sharing XDS-I for imaging information. ATNA for audit trail and network security XDS Document Consumer 記録を読み出す地域の機関 (Document Consumer) 記録の検索と取得が許可されている地域の機関のリストを提供する ( ここでリストを掲げるか 付録を参照すること ) XDS-I Imaging Document Consumer ATNA Secure Node PIX Consumer PDQ Consumer XDS Document Consumer 医療記録を取得する医療機関 (Document Consumer) 記録の検索と取得が許可されている連携医療機関のリストを提供する ( ここでリストを掲げるか 付録を参照すること ) XDS-I Imaging Document Consumer XDS Document Source XDS-I Imaging Document Source 14

15 ビジネスアクタ定義技術的なアクタ オプショナ リティ 備考 ATNA Secure Node PIX Consumer PDQ Consumer 記録を提供する医療機関 (Document Source) 記録の提供が承認されている地域の医療機関のリストを提供する ( ここでリストを掲げるか 付録を参照すること ) XDS Document Source XDS-I Imaging Document Source ATNA Secure Node 記録を提供する地域の機関 (Document Source) 記録の提供が承認されている地域の機関のリストを提供する ( ここでリストを掲げるか 付録を参照すること ) XDS Document Source XDS-I Imaging Document Source ATNA Secure Node A テクニカルアクタ (Technical Actor Specifications) 使用アクタとその採用オプションを定義する 表 A XDS.b Document Registry Transactions 表 A Additional XDS Document Registry Messaging 表 A XDS.b Document Repository Transactions 15

16 表 A Additional XDS Document Repository Messaging 表 A XDS.b Document Source Transactions 表 A Provide and Register Document Set Content Options 表 A Additional XDS Document Source Messaging 表 A XDS-I Imaging Document Source Transactions 16

17 表 A Provide and Register Imaging Document Set Content Options 表 A Additional XDS-I Imaging Document Source Messaging 表 A XDS.b Document Consumer Transactions 表 A Document Consumer Content Support 表 A Additional XDS Document Consumer Messaging 表 A XDS-I Imaging Document Consumer Transactions 17

18 表 A XDS-I Imaging Document Consumer Content Support 表 A Additional XDS-I Imaging Document Consumer Messaging 表 A XDS Patient Identity Source Transactions 表 A XDS HL7v3 Patient Identity Source Transactions 表 A Additional XDS Patient Identity Source Messaging 表 A PIX Patient Identity Source Transactions 表 A PIX HL7v3 Patient Identity Source Transactions 18

19 表 A Additional PIX Patient Identity Source Messaging 表 A PIX Manager Transactions 表 A PIX HL7v3 Manager Transactions 表 A Additional PIX Manager Messaging 表 A PIX Consumer Transactions 表 A PIX HL7v3 Consumer Transactions 19

20 表 A.8.2.2,28 Additional PIX Consumer Messaging 表 A PDQ Patient Demographics Supplier Transactions 表 A PDQ HL7v3 Patient Demographics Supplier Transactions 表 A Additional PDQ Patient Demographics Supplier Messaging 表 A PDQ Patient Demographics Consumer Transactions 表 A PDQ HL7v3 Patient Demographics Consumer Transactions 表 A Additional PDQ Patient Demographics Consumer Messaging 表 A ATNA Audit Record Repository Transactions 20

21 表 A Additional ATNA Audit Record Repository Messaging 表 A ATNA Secure Node Transactions 表 A ATNA Secure Nodes 表 A ATNA Secure Application Transactions 表 A ATNA Secure Applications 表 A CT Time Server Transactions 表 A CT Time Client Transactions 表 A <Profile Actor>Transactions 21

22 表 A Additional <Profile Actor> Messaging 表 A Additional Technical Actor Messaging A XAD トランザクション (XDS Affinity Domain Transaction Diagram) XAD の通信ダイアグラムを定義する 特に XAD 拡張では必須として定義している付加的通信の詳細は重要である Document Registry Registry Stored Query [ITI-18] Document Consumer Imaging Document Source Provide & Register Imaging Document Set MTOM/XOP [RAD-68] Document Repository Register Document Set-b[ITI-42] Retrieve Document Set [ITI-43] WADO Retrieve [RAD-55] Retrieve Imaging Document Set [RAD-69] Imaging Document Consumer Retrieve Images [RAD-16] Retrieve Presentation States [RAD-17] Retrieve Reports [RAD-27] Retrieve Key Image Note [RAD-31] Retrieve Evidence Documents [RAD-45] 図 8.3 XDS Affinity Domain Transaction Diagram の例 A XAD 間のトランザクション (Cross XDS Affinity Domain Transaction Support) XCA を用いる 用いないを規定する 用いる場合は本書の記載範囲を越えるが 拡張して記載する この XAD には属さない外部システムへの通信が必要な場合には その詳細を規定する 異なる code sets さらに ID 認証の妥当性 を扱う手続きを説明する 22

23 A.9 使用用語とコンテンツ (Terminology and Content) XAD で精密化される使用用語とコンテンツを説明する A.9.1 識別構成の共通規約 (Common Rules for Identifier Construction) IHE XDS 等の地域連携において 施設 システム ID 発行機関や患者識別子などにオブジェクト識別子が用いられている 我が国では日本情報経済社会推進協会が ISO 系の IOD の申請窓口となっており で始まるオブジェクト識別子の 4 階層目の値の割り当てを行っている 取得した 4 階層のオブジェクト識別子をルート OID として 5 階層目以降をさまざまな OID として利用する事が可能である 例えば 地域連携体が OID を取得し 5 階層目に各施設 ID を割り振る またそのように OID 取得した各施設は それぞれ設置されるシステムや ID 発行機関等に同様の方法で OID を割り振ることが可能である ただし OID を取得 割り振り等を行う場合 ISO/IEC 8824 で定義された規則に従わなくてはならない 以下に規定された規則の例示を行う UID の各構成要素は数字であり 1 つ以上の数字で構成される 構成要素が 1 桁でない限り各構成要素の最初の桁はゼロであってはならない 各構成要素の数値は ISO 646:1990 の国際参照バージョンの基本 G0 セットの文字 0-9 を使用して符号化されなければならない 各構成要素は文字 "."(2Eh) で区切られていなければならない UID は 合計 64 文字を超えてはならない ( 一社 ) 保健医療福祉情報システム工業会 (JAHIS) IHE-ITI を用いた医療情報連携基盤実装ガイド を用いることとする この実装ガイドに準拠しない特別な規約などがある場合には ここに記載する 患者基本情報規則や制限 XDS ドキュメント レジストリのメタデータ定義 コード表など 例えば 実装ガイドの表 4.11XML 定義 ( 患者レジストリレコード追加メッセージ : メッセージヘッダ ) 図 5.4 メタデータ定義 等を参照する 医療機関のコードや名称を XAD でユニークにする 下記の表は記載例 ( レジストリー用メタデータ ) である 表 A.9.1 Document Metadata Attribute Definition 23

24 A.9.2 サポートする内容 (Supported Content) サポートするプロファイル (Supported Content Profiles) を定義する XAD で ITI TF の定義を越えたガイドラインや規則が有る場合には内容を説明する ( 下記表は例 ) XDS-MS,XDS-SD,XDS-I,XDS-BPPC,XDS-*, 等以下の表に示す内容を記載する 表 A.9.2 Supported XDS Content Profiles A.10 プライバシ (Patient Privacy and Consent) A.10.1 ドキュメントのアクセスと利用の一般則 (General Guidelines Regarding Document Access and Use) XAD に所属する各医療従事者による情報 ( ドキュメント種別 ) へのアクセス 利用に関する一般的な権限を定める A.6.2 メンバのタイプで例示したデータアクセスリストを参考に 各ドキュメント種別に対する各医療職種別の役割を定義するプライバシーアクセス制御マトリックスを定めることが考えられる A.10.2 患者同意 (Patient consent) BPPC Profile のサポート要否を決定した上で サポートする場合は BPPC 利用のルールを定義する * 参照 :IHE BPPC は XAD で事前定義された患者プライバシーポリシーのセットのみを患者は選択することができる さらなるより複雑な患者プライバシ - ポリシーには APPC(Advanced Patient Privacy Consents) が存在する A.10.3 プライバシを越える時のガイド (Privacy Over-ride Guidelines) A.10.1: ドキュメントのアクセスと利用の一般則で定めたプライバシーアクセス権限について システムの日常的な運営を逸脱する緊急事態が発生した場合の 例外的なプライバシーアクセスポリシー ( ブレイクグラスポリシーなど ) を定める 緊急事態の種類は Emergency Mode( IHE Handbook HIE Security & Privacy) が参考に 24

25 なる * 参照 :IHE Handbook HIE Security & Privacy (Emergency Mode) の記載 Emergency の定義は広い Emergency 時にポリシーを緩めることは合理的 Emergency 時のポリシーは重要 Emergency とは a) 自然 人的災害 ( 例. Hurricane, Earth Quake) 他地域からの応援救助者による迅速なアクセス b) ユーティリティの不調 ( 例. 停電 ) 無停電電源 バックアップ電源 c)it インフラの不調 ( 例. hard drive crash) 基本インフラ部分の冗長化 d) 患者緊急時の緊急避難的行為 ブレークグラス e) 患者の顕著な危機に対してのアクセス防御の無視 ポリシーに明示されることで ポリシー違反にあたらない Policy 同士の衝突があるが 表面的 A.11 技術的セキュリティ (Technical Security) 実施に当たっては 安全管理 GL IHE-ITI を用いた医療情報連携基盤実装ガイド 等を前提とする 特に通信上の安全管理は 安全管理 GL 6 章 あるいは クラウドサービス GL の遵守を必須とする ネットワークサービス事業者からの規格適合性についての説明資料を検討の上 保存する A.11.1 役割識別 (Authentication of Users/Role) 役割識別はドメイン内での合意を基本とするが HPKI 証明書での資格名の利用を推奨する 不足は各ドメインで追加を行う 各組織内においてのアクセス権限管理は メンバ夫々での運用管理規定による 認証手段としては PKI 鍵配布 事前配布された共通鍵 ワンタイムパスワード等があるが ガイドライン遵守が担保されていれば 手段は問わない 以下の表は 保健医療福祉分野 PKI 認証局認証用および署名用証明書ポリシー からの抜粋となる 表 HPKI 資格名テーブル資格名 ( 国家資格 ) Medical Doctor Dentist Pharmacist Medical Technologist Radiological Technologist General Nurse 説明医師歯科医師薬剤師臨床検査技師診療放射線技師看護師 25

26 資格名 ( 国家資格 ) 説明 Public Health Nurse 保健師 Midwife 助産師 Physical Therapist 理学療法士 Occupational Therapist 作業療法士 Orthoptist 視能訓練士 Speech Therapist 言語聴覚士 Dental Technician 歯科技工士 National Registered Dietitian 管理栄養士 Certified Social Worker 社会福祉士 Certified Care Worker 介護福祉士 Emergency Medical Technician 救急救命士 Psychiatric Social Worker 精神保健福祉士 Clinical Engineer 臨床工学技師 Masseur and Finger Pressure あん摩マッサージ指圧師 Practitioner Acupuncturist はり師 Moxibustion Practitioner きゅう師 Dental Hygienist 歯科衛生士 Prosthetics & Orthotics 義肢装具士 Artificial Limb Fitter 柔道整復師 Clinical Laboratory Technician 衛生検査技師 資格名 ( 医療機関の管理責任者 ) 説明 Director of Hospital 病院長 Director of Clinic 診療所院長 Supervisor of Pharmacy 管理薬剤師 Proprietor of Pharmacy 薬局開設者 Director その他の保健医療福祉機関の管理責任者 注 ) 資格名のワード間の空白は一個の Space (x20) とする 上記表では 代表者としての認証を必要とすることが多い病院長 診療所院長 管理薬剤師 薬局開設者を hcrole だけで識別できるように定めている 表 HPKI 組織名テーブル insurance medical care facility 保険医療機関 26

27 insurance pharmacy 保険薬局 A.11.2 アクセス制御 管理者名 組織名を使用してアクセスする個人の資格管理は 各メンバにおいて管理するものとする アクセス制御方式は特定の方式は定めないが 組織としては定めることが必要である A.11.3 ノード識別 (Node Authentication) ノード認証 (Node Certificates Management) ATNA の実装により行うことを明示的に定める A.11.4 倫理 (Ethics) ポリシーで定める規則と規制のみでは様々に異なるメンバを確実に管理 監督することは不可能である そのため 本組織に加入するに際して暗黙裡に同意されるべき倫理が明文化され 全員が担うべき責任の枠組に関して共通理解することが必要になる よって 必要に応じて組織運営体はメンバ全体が有する倫理上の共通理解を明文化し 表明することが望まれる A.11.5 将来のシステム拡張 (Future system developments) ポリシー作成時に計画が有るならば 記載する 27

28 地域医療連携組織のための ポリシー作成ガイド Version Copyright 一般社団法人日本 IHE 協会特定非営利活動法人デジタル フォレンジック研究会 (IDF) 28

29 別冊地域医療連携におけるデジタル フォレンジック 別冊 地域医療連携におけるデジタル フォレンジック 1. 定義 本ガイドの読者の多くにとって デジタル フォレンジックという言葉自体が耳慣れないかもしれない あるいは この言葉は犯罪捜査や法定係争等 ネガティブな局面に適用される技術と考えている読者もいるかもしれない よって まずはデジタル フォレンジックとはそもそも何かについて説明したい 特定非営利活動法人デジタル フォレンジック協会 ( 以下 IDF ) ではデジタル フォレンジックを以下のように定義している インシデントレスポンス ( コンピュータやネットワーク等の資源及び環境の不正使用 サービス妨害行為 データの破壊 意図しない情報の開示等 並びにそれらへ至るための行為 ( 事象 ) 等への対応等を言う ) や法的紛争 訴訟に際し 電磁的記録の証拠保全及び調査 分析を行うとともに 電磁的記録の改ざん 毀損等についての分析 情報収集等を行う一連の科学的調査手法 技術 簡単に要約すれば デジタル フォレンジックとは犯罪捜査や法的紛争においてデジタル機器に残された痕跡を < 記録 > して抽出 分析し 法的要件を備えた < 電子的な証拠 ( エビデンス )> として成立させる科学的な技術であり 問題 ( インシデント ) が発生した場合の事後対応というイメージが強くなるかもしれない しかしながら IDF では本技術を利活用することで 以下の諸事項を実現することを目指している ハイテク犯罪や情報漏えい事件などの不正行為発生後にデジタル機器等を調査し いつどこで誰が何を行ったか等の < 電磁的に記録されている > 情報について 証拠性を担保して適切に取得し 解析を行うことで < 電磁的に記録された > 事実に基づいて 問題を解決すること 定期的にフォレンジックを用いた監査を行う事により 不正行為の発生の抑止や予兆を把握するとともに発生後の対応を迅速に行えるようにする デジタル データやログ等の保全 解析 保管等の取り扱い手法に関して それらが訴訟等にも耐え得るよう適切に取り扱われていると判断 ( 認定 ) される取扱手法等を議論する事により 関係者相互の法的権利を正しく守る 上記の内容をより一般化していえば PC 端末やサーバ ネットワーク機器 携帯型情報端末等 様々な電子機器を用いた業務活動において 遵守すべきポリシーに基づき適切な活動が行われているかをモニタリングするとともに 不適切な活動が行われた場合の事後検証を行うことを可能にするための実効的な専門ツールや専門手法を提供するものがデジタル フォレンジックという技術と定義できる 単なる問題発生後の対応ツールではなく 問題が発生しないようポリシーへの準拠性をモニタリングし その結果を内外に開示すること あるいは問題が発生した場合においては いつどこで誰が何を行ったのかを具体的に精査し 再発防止策を実効的に検討するための < 監査 > のツールとしてこそ 本技術は位置づけられる 1 Copyright 2018 IDF

30 別冊地域医療連携におけるデジタル フォレンジック さらに 本技術の導入により 監査が前提とする法的な遵守要件を当該活動に参画する内外関係者に共通的に理解させることで 透明性 = 説明責任力の高い業務運営が可能となる つまり デジタル フォレンジックとは 複数の内外の関係者を交え運営される組織体において 法的な遵守要件を備えたポリシーへの準拠性を開示するとともに 問題が発生した場合における説明責任力の高い対応を可能とする 監査 の仕組を提供するポジティブな技術であり 単なる犯罪捜査や法定係争等のネガティブな局面にのみ適用されるものではないという点を改めて強調したい 2. 効果 / 利点 地域医療連携においてデジタル フォレンジックという技術を利活用することで どのような効果が期待できるのか 本ガイドの文脈に寄せ 医療連携コミュニティ (XAD) の運営の観点より整理すると 具体的には例えば以下の利点を得ることが可能となる 医療従事者による患者情報への ( 通常時 または緊急時の ) アクセスが連携用運営方針 ( ポリシー ) に基づき適切に実施されていることの合理的な証明 システム上の不具合 アクセス権の管理不備等に伴う ( 過失 / 故意を問わぬ ) 内部関係者によるポリシー違反の有無についての効率的な検証 システム保守事業者等によるレポジトリ / レジストリ類へのシステム保守目的のアクセスが 契約範囲に収まっているか否かについての効果的な点検 外部の悪意者によるサイバ攻撃等によるシステムの停止が 運営組織のポリシーに照らして想定される事象であったのか ( ポリシーの不十分さによるのか ) 想定外の事象であったのか ( ポリシーを超える事象であったのか ) についての説得的な説明責任の遂行 上記の利点はあくまで一例である 重要なポイントは PC サーバ ネットワーク機器 携帯型情報端末等 電子機器を介して行われる日々の組織運営のポリシーへの準拠状況を 当該機器に保存される記録 ( ログ ) を直接的な対象としてデジタルに精査することにより 本来であれば紙媒体 あるいはシステム等を介して逐一人手を介して整理 点検しなければならない 記録 の管理に係る業務上の煩雑さを軽減することが可能であるという点である 当然 最低限な記録管理は必要であるものの 常に緊急性と個別対応性が求められる医療等分野では一般化されたポリシーに基づく業務運営は言うは易し 行うは難しである このような状況に対して デジタル フォレンジック技術は 仮にポリシー通りの業務遂行が本来求められる水準で人手を介して記録管理されずとも 当該業務を行う上で利用したデジタル機器という < 最も雄弁な証人 > に良否を直接問うことで その業務内容の妥当性を証立てることが可能になる そのため 刻一刻と状況が変化するため 現場のプロフェッショナルが < 倫理 > に基づき都度決断を下さなければならない業務領域において 本技術は最もその価値を発揮する 医療従事者というプロフェッショナルが目まぐるしい日々の業務に忙殺される地域医療連携 ひいては医療現場という環境において 本技術は各人の倫理的な誠実性を < 電子的なエビデンス > に基づき公明正大に宣言するための強力なツールであり 医療機関等においてこそ 2 Copyright 2018 IDF

31 別冊地域医療連携におけるデジタル フォレンジック 積極的に利活用することが推奨されるものである つまり デジタル フォレンジックという技術は 医療現場のプロフェッショナルによる業務遂行の法令 あるいは倫理上の適切性を常にエビデンスに基づき証明してくれる < 心強い味方 > ということができる 3. 適用例 本ガイドが前提する医療連携コミュニティにおいてデジタル フォレンジック技術の実装 運用が望まれるポリシーの範囲は A.5.5 監査 (Audit check) 及び監査証跡 (Audit Trail) となる そのためには当該技術を用いた監査証跡およびノード認証 (Audit Trail and Node Authentication (ATNA)) の仕組の設計を行うことが必要となる 但し ATNA に関する技術アクタが求める標準的な技術仕様とデジタル フォレンジック技術は全く相反しない 何故なら本技術は ATNA の標準仕様に基づき設計される監査証跡 / ノード認証の仕組の運用状況に対して 外部的な独立性を保持した技術として導入されるからである よって 以下のような ATNA に関するアクタのうち 特に組織運営において法的な遵守性が高く求められる範囲を ( コスト面等を考慮の上で ) 選別して 本技術の導入検討を行うことが推奨される ビジネスアクタ 地域連携 (State/Provincial, Regional, or Local) HIE ドキュメントリポジトリ (Document Repository) 医療記録を取得する医療機関 (Document Consumer) 記録を提供する医療機関 (Document Source) 記録を提供する地域の機関 技術的なアクタ ATNA Audit Repository ATNA for audit trail and network security ATNA Secure Node (Document Source) : 詳細は A ビジネスアクタ (Business Actors) を参照 より具体的に デジタル フォレンジック技術の利活用を前提とした監査ポリシーを以下に例示する 本技術を用いて 諸ポリシーに基づく組織運営状況を点検することで より説明責任力 (= 証拠性 ) の高い運営状況の報告を行うことが可能となる 例 : 3 Copyright 2018 IDF

32 別冊地域医療連携におけるデジタル フォレンジック 本組織における監査 1. 本組織が提供するサービスを対象として 加入組織体及び当該組織体に属する医療従事者によるアクセスが遵守すべきポリシーに基づき実施されていることについて監査を行う 2. 監査はデジタル フォレンジック技術を用いて行うこととする 3. 監査は ドキュメントレポジトリへのアクセスを対象範囲とする 4. 本結果は報告書として取りまとめた上で 加入組織体へ開示する 5. 報告書においてポリシー違反が検出された場合は その経緯とともに 再発防止策をあわせて加入組織体へ開示する 6. 監査の頻度は 原則年次とする 4. 導入にあたって どのようなデジタル フォレンジックの専用ツールや専用手法が存在するかについては IDF のホームページを参照して頂くと共に同研究会が公開し 逐次改訂を行っている 証拠保全ガイドライン ( 以下 GL と記載 ) を参考資料として紹介する デジタル フォレンジック研究会 ホームページ 証拠保全ガイドライン第 5 版 2017 年 3 月時点の最新版 デジタル フォレンジックの考え方 手順 手法等について GL 本編 2 頁 ~32 頁 関連資料等 GL 付録 33 頁 ~73 頁 代表的な収集及び分析ツール GL 付録 7-Ⅳ 66 頁 ~67 頁 製品 サービス区分リスト GL 付録 8 68 頁 ~73 頁 デジタル フォレンジック技術の詳細は各社各様の仕様や得意分野とノウハウに依存するため一概にまとめることは難しい また用途に適したツールを選択できなければ 本来想定していた効果 利点を得ることも出来なくなる さらに 上記ガイドラインについても専門性が高く どのように技術の適用を図るべきか不分明な点も多いかもしれない よって デジタル フォレンジック技術の導入を検討する場合は IDF にまずは問い合わせ頂きたい IDF に問合せ頂ければ 本ガイドの読者それぞれが望む目的に応じた < 心強い味方 > となるツールを確実に紹介することが可能である 問い合わせ先 特定非営利活動法人デジタル フォレンジック研究会 東京都品川区東五反田 ハニー五反田第 2 ビル 3F TEL: FAX: info@digitalforensic.jp 4 Copyright 2018 IDF